Do rozpatrzenia przez Sejm Rzeczypospolitej Polskiej prezydent RP – Lech Kaczyński skierował projekt ustawy o zmianie ustawy o ochronie danych osobowych. Stało się tak, bowiem ponad dziewięcioletni okres obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazuje na potrzebę wprowadzenia kolejnych zmian mających na celu zagwarantowanie skuteczniejszej niż dotychczas ochrony danych osobowych. Podstawowym celem przedkładanego projektu jest zmiana – jak wskazuje doświadczenie mało efektywnych – rozwiązań przyjętych w zakresie stosowania sankcji karnych wobec podmiotów naruszających przepisy ustawy. Konieczność wprowadzenia skutecznego rozwiązania w kwestii egzekwowania prawa o ochronie danych osobowych wynika z postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tych danych (zwanej dalej „Dyrektywą 95/46/WE”), na której polska ustawa – w momencie jej tworzenia – była wzorowana. Art. 24 Dyrektywy 95/46/WE obliguje państwa członkowskie do podjęcia działań zmierzających do zapewnienia pełnej realizacji praw i obowiązków, które zostały w niej określone, wiążąc jedynie, co do celu, jaki należy osiągnąć, a pozostawiając swobodę w wyborze drogi do jego osiągnięcia.
Przepisy ustawy w obowiązującym brzmieniu nie przyznają Generalnemu Inspektorowi Ochrony Danych Osobowych żadnych skutecznych instrumentów, które – po pierwsze – służyłyby egzekwowaniu prawa, po drugie zaś, byłyby gwarantem tego, że administratorzy danych, którzy uporczywie naruszają przepisy ustawy, nie respektując przy tym praw osób, których dane dotyczą, poniosą konsekwencje działań niezgodnych z ustawą. Jednocześnie projekt nowelizacji ustawy o ochronie danych osobowych ma na celu wprowadzenie także innych zmian, podyktowanych doświadczeniami wynikającymi ze stosowania jej przepisów.
Projektowana nowelizacja zawiera istotne zmiany w zakresie sankcji za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych. Po rozdziale 7 dodano nowy rozdział 7a zatytułowany „Kary pieniężne”. Zgodnie dodanymi przepisami rozdziału 7a Generalny Inspektor może nałożyć – w drodze decyzji administracyjnej 0 karę pieniężną w wysokości stanowiącej równowartość od 1000 do 100.000 euro na podmiot, który nie wykonuje decyzji Generalnego Inspektora wydanej na podstawie art. 18 ust. 1 lub art. 44 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i od której nie przysługują środki zaskarżenia oraz skarga do sądu administracyjnego. Ustalając wysokość kary pieniężnej Generalny Inspektor powinien uwzględnić zakres naruszenia, dotychczasową działalność podmiotu w zakresie przestrzegania przepisów ustawy o ochronie danych osobowych oraz jego możliwości finansowe. Wymiar kary pieniężnej jest wyrażany w złotych i ustalany przy zastosowaniu kursu średniego ogłaszanego przez Narodowy Bank Polski w dniu wydania decyzji o nałożeniu kary. Należy podkreślić, iż niezależnie od kary pieniężnej Generalny Inspektor może nałożyć – również w drodze decyzji administracyjnej – na kierownika kontrolowanej jednostki organizacyjnej albo osobę działającą z jego upoważnienia, którzy uniemożliwiają lub utrudniają przeprowadzenia czynności kontrolnych karę pieniężną w wysokości do 300% ich miesięcznego wynagrodzenia. Wspomniane czynności kontrolne polegają na prawie inspektorów do wstępu – w godzinach od 6 do 22 – za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zarejestrowany zbiór danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, żądanie złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, żądanie okazania dokumentów i wszelkich danych mających bezpośredni związek z problematyką kontroli oraz żądanie udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.
Kary pieniężnej nie nakłada się, jeżeli od dnia popełnienia czynu upłynęły 2 lata. Wniesienie skargi od decyzji o nałożeniu kary pieniężnej wstrzymuje wykonanie decyzji. Sąd administracyjny ma 30 dni od dnia przekazania odpowiedzi na skargę na wyznaczenie terminu rozprawy. Termin uiszczenia kar pieniężnych wynosi 14 od dnia, w którym decyzja o nałożeniu kary stała się ostateczna, a w przypadku wniesienia skargi do sądu administracyjnego 14 dni od dnia uprawomocnienia się wyroku. Kary pieniężne, które nie zostaną uiszczone w terminie podlegają wraz z odsetkami za zwłokę przymusowemu ściągnięciu w trybie określonym w przepisach o postępowaniu egzekucyjnym w administracji. Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa.
